DAS DATENSCHUTZ-GESETZ

Rechtmäßigkeit der Verarbeitung

Die Voraussetzungen für die Zulässigkeit der Verarbeitung von personenbezogenen Daten sind in den Art. 6 bis 10 DSGVO und für automatisierte Einzelentscheidungen in Art. 22 DSGVO geregelt.

Mit dem einleitenden Satz: „Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist… “ hält die DSGVO an dem bereits in Art. 7 der RL 95/46/ EG normierten und auch im BDSG a.F. verankerten Grundsatz des Verbotes mit Erlaubnisvorbehalt fest. Art. 6 Abs. 1 DSGVO beschreibt die rechtlichen Alternativen der Verarbeitung. Art. 6 Abs. 2 DSGVO enthält eine Öffnungsklausel für spezifische mitgliedsstaatliche Regelungen zur Anpassung der Anwendung der DSGVO in Bezug auf die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen (Art. 6 Abs. 1 lit. c DSGVO) und für die Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt (Art. 6 Abs. 1 lit. f DSGVO).

Art. 5 Abs. 1 lit. b DSGVO enthält eine Zweckbindung dahingehend, dass personenbezogene Daten nicht in einer mit dem Erhebungszweck nicht zu vereinbarenden Weise weiterverarbeitet werden dürfen. Damit wird ein Rahmen gesetzt, der eine Weiterverarbeitung personenbezogener Daten insoweit zulässt, als der Kontext zum Erhebungszweck nicht verlassen wird. Art. 6 Abs. 4 DSGVO enthält Konkretisierungen zur Verarbeitung personenbezogener Daten für einen anderen Zweck.

Der nachfolgende Prozess zeigt einen Überblick über die einzelnen von Art. 6 Abs. 1 DSGVO zur Verfügung gestellten Rechtsgrundlagen.

Einwilligung

Der Wortlaut des Art. 6 Abs. 1 DSGVO (Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist.) lässt den Schluss zu, dass eine Verarbeitung auch auf mehrere Rechtsgrundlagen gestützt werden kann. Teilweise wird daraus die Empfehlung abgeleitet, eine Verarbeitung auf der Grundlage einer anderen Vorschrift des Art. 6 Abs. 1 DSGVO, z. B. eines berechtigten Interesses oder vorvertraglicher Maßnahmen, zusätzlich und sicherheitshalber noch durch eine Einwilligung abzusichern. Diese Verfahrensweise kann insbesondere bei einem Widerruf der Einwilligung zu Rechtsproblemen führen. Es ist durchaus denkbar, dass Daten, die zunächst auf der alleinigen Grundlage einer Einwilligung erhoben worden sind, nach einem Widerruf der Einwilligung auf der Grundlage einer anderen Rechtsvorschrift, z. B. des Art. 6 Abs. 1 lit. c DSGVO, weiter gespeichert werden müssen. In diesem Fall ist zwar die operative Verarbeitung nicht mehr zulässig, die Daten sind aber aufgrund der zusätzlich greifenden Rechtsgrundlage weiter zu speichern.

Von diesem Fall zu unterscheiden sind aber Fallkonstellationen, in denen von Anfang an die Verarbeitung zusätzlich auf eine Einwilligung gestützt wird und dem Betroffenen bei der Abgabe der Einwilligung kommuniziert wurde, dass sich die Verarbeitung eben auf diese Einwilligung stützt und die Einwilligung von ihm jederzeit widerrufen werden kann.

Für diese Fälle der Wechselwirkung zwischen der Einwilligung und anderen Rechtsgrundlagen vertritt die Art.-29-Gruppe die Auffassung, dass ein Verantwortlicher, der sich für einen Teil der Verarbeitung auf eine Einwilligung stützt, bereit sein muss, die Entscheidung zu respektieren und den Teil der Verarbeitung zu beenden, wenn eine Einzelperson ihre Einwilligung widerruft. Es wäre gegenüber Einzelpersonen ein in höchstem Maß missbräuchliches Verhalten, ihnen zu sagen, dass die Daten auf der Grundlage der Einwilligung verarbeitet werden, wenn tatsächlich eine andere Rechtsgrundlage zugrunde gelegt wird. Das heißt (so die Art.-29-Gruppe weiter) mit anderen Worten, dass der Verantwortliche nicht von der Einwilligung zu einer anderen Rechtsgrundlage wechseln kann. Es ist beispielsweise nicht gestattet, rückwirkend das berechtigte Interesse als Grundlage für die Rechtfertigung der Verarbeitung zu wählen, wenn Probleme mit der Gültigkeit der Einwilligung aufgetreten sind. Aufgrund der Verpflichtung, die Rechtsgrundlage, auf die sich der Verantwortliche stützt, zum Zeitpunkt der Erhebung der personenbezogenen Daten anzugeben, müssen Verantwortliche vor der Erhebung entschieden haben, welche Rechtsgrundlage anwendbar ist (WP 259 rev. 1 der Art.-29- Gruppe „Leitlinien in Bezug auf die Einwilligung gem. VO 2016/679“, Seite 27).

Erforderlichkeit einer Rechtsgrundlage

Wenn keine Einwilligung der betroffenen Person vorliegt, ist eine Verarbeitung ihrer personenbezogenen Daten nur zulässig, wenn eine der in Art. 6 Abs. 1 DSGVO genannten sonstigen Voraussetzungen gegeben ist. In nichtöffentlichen Unternehmen stützt sich die Verarbeitung i. d. R. entweder auf einen Vertrag mit den Betroffenen bzw. auf vorvertragliche Maßnahmen, wie z. B. die Erstellung eines Angebots, oder auf ein berechtigtes Interesse des Unternehmens. Entsprechend ist die Verarbeitung gem. Art. 6 Abs. 1 lit. b DSGVO zulässig, soweit diese für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen, erforderlich ist. Der Begriff Vertrag und auch der vorvertraglicher Maßnahmen ist nicht zu eng auszulegen und umfasst, wie auch bisher schon nach den Vorschriften des BDSG a. F., alle Arten von Schuldverhältnissen.

Damit sind alle Formen von Verträgen gemeint, die im Zusammenhang mit der unternehmerischen Tätigkeit anfallen können, z. B. Kauf-, Werk-, Dienstleistungs-, Geschäftsbesorgungsverträge, Mietverträge, Verträge über Abonnements, Geschäftspartnerverträge, z. B. zur Vermittlung von Kunden etc., oder Verträge im Rahmen von Beschäftigungsverhältnissen.

Allgemeine Rechtsgrundlagen für die Verarbeitung personenbezogener Daten

Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses Art. 88 DSGVO i. V. m. § 26 BDSG

Über die Beschäftigten eines Unternehmens dürfen gem. § 26 Abs. 1 BDSG personenbezogene Daten erhoben, verarbeitet oder genutzt werden, soweit dies zur Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist. Zur Begründung eines Beschäftigungsverhältnisses, d. h. im Bewerbungsverfahren, dürfen alle für eine Entscheidung über die Einstellung erforderlichen personenbezogenen Daten erhoben werden.

Zur Einstellung und nach der Einstellung darf der Arbeitgeber vom Beschäftigten alle Daten über Umstände und Sachverhalte erheben und speichern, die erforderlich sind, um seine Pflichten im Zusammenhang mit dem Beschäftigungsverhältnis erfüllen und seine Rechte wahrnehmen zu können. Zulässig sind unter diesen Gesichtspunkten alle Fragen, die im Zusammenhang mit der Personalverwaltung, zur Durchführung der Lohn- und Gehaltsabrechnung, zur Mitarbeiterführung, Personalplanung, zur betrieblichen Fortbildung und Personalentwicklung etc. erforderlich sind. Der Begriff der Beendigung umfasst die vollständige Abwicklung eines Beschäftigungsverhältnisses

Gemäß § 26 Abs. 1 Satz 2 BDSG dürfen personenbezogene Daten eines Beschäftigten zur Aufdeckung von Straftaten erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat. Für die Vorgehensweise ist § 26 Abs. 1 Satz 2 BDSG zu beachten.

Verarbeitung zur Erfüllung eines Vertrags

Die Verarbeitung von personenbezogenen Daten ist gem. Art. 6 Abs. 1 lit. b DSGVO für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung von vorvertraglichen Maßnahmen zulässig, wenn diese vorvertraglichen Maßnahmen auf Anfrage der betroffenen Person erfolgen.

Zu beachten ist, dass die betroffene Person selbst Partei des Vertrags sein muss. Der Vertrag kann aber auch durch einen Bevollmächtigten abgeschlossen werden. Mit eingeschlossen ist jede Verarbeitung, die bis zur vollständigen Erfüllung des Vertrags, also aller Leistungen und Nebenleistungen/-pflichten erforderlich ist. Dazu gehören auch Verarbeitungen, die zur Durchsetzung von Ansprüchen, z. B. durch ein Inkassobüro, erforderlich werden können.

In den Vertrag können auch dritte Personen einbezogen sein, z. B. Mitreisende bei einer Gruppenreise, oder wenn bei einem Warenversand eine vom Besteller abweichende andere Person als Empfänger und Lieferadresse angegeben werden soll.

Erhoben werden dürfen nur diejenigen Daten, die zur Erfüllung des Vertrags und zur Wahrnehmung der Rechte und Pflichten aus dem Vertrag erforderlich sind. Dazu gehören z. B. auch Bonitätsanfragen bei einer Wirtschaftsauskunftei. Zulässig sind auch Datenübermittlungen, soweit diese für die Ausführung des Vertrags erforderlich sind, z. B. an Zulieferer, Speditionen oder Stellen zur Ausführung der Leistungen, z. B. im Zusammenhang mit der Buchung einer Reise oder der Erstellung eines Werks. Bei der Datenerhebung muss aber über diese Übermittlungen informiert werden.